Mais de 200 mil pessoas já foram vítimas desses ataques

Foto: Shutterstock
Em novembro, a Avast bloqueou mais de 7 mil tentativas de ataques de falsificação de solicitação entre sites só no Brasil. Os kits de exploração de roteadores são populares no Brasil, tanto é que duas páginas hospedavam como “Novidade” uma versão do kit de exploração GhostDNS – uma rede de bots que ataca roteadores e rouba dados dos usuários.
Conhecida como CSRF (Cross-Site Request Forgery), a falsificação de solicitação entre sites é iniciada quando o usuário visita um site comprometido com publicidade maliciosa, que é veiculada usando redes de anúncios de terceiros no site. Nesse caso, mais de 222 mil usuários foram redirecionados automaticamente para uma das duas páginas de destino do kit de exploração do roteador. São elas:
- hxxp[:]//novonovonovo.users.scale.virtualcloud.com[.]br
- hxxp[:]//avast.users.scale.virtualcloud.com[.]br
“Não sabemos ao certo a razão dos criminosos utilizarem ‘avast’ no segundo URL, mas suspeitamos que isso tenha ocorrido porque bloqueamos a primeira página de destino”, disse Simona Musilová, analista de Ameaças da Avast.
Os kits de exploração podem atacar com êxito um roteador. Muitos roteadores estão protegidos com credenciais fracas, normalmente as que vem por padrão, entregues junto com o roteador e cujas informações podem ser facilmente encontradas online. De acordo com a pesquisa da Avast, 43% dos brasileiros nunca acessaram a interface administrativa web de seus roteadores para alterar as credenciais de login de fábrica.
Além disso, domínios populares, acessados diariamente por milhões de pessoas, também podem ser afetados pelo sequestro de DNS e substituídos por páginas de phishing muito semelhantes às reais. Veja alguns exemplos:
- bradesco.com.br
- santandernetibe.com.br
- pagseguro.com.br
- terra.com.br
- uol.com.br
- netflix.com
“Esta não é a primeira vez que vimos esses sites como alvos de ataques de CSRF. Eles são escolhidos por serem populares e, em geral, exigem que os usuários façam login ou insiram informações de pagamentos. Depois que os usuários fazem isso, suas credenciais de login e informações de pagamentos vão diretamente para os cibercriminosos, dando a eles o acesso à Netflix e às contas bancárias, por exemplo”, explicou Musilová.
Para prevenir esses tipos de ataque, os usuários devem sempre verificar se a página acessada possui certificado válido e um cadeado na barra URL do navegador. “Os usuários devem atualizar frequentemente o firmware do roteador para a versão mais recente e configurar as credenciais de login do roteador com uma senha forte. O usuário que acredita que o seu roteador está infectado, deve fazer o login na interface administrativa web do roteador e alterar as credenciais de login. Também deve estar sempre atento com a sua conta bancária”, sugeriu Musilová.
Comentários
Postar um comentário